Riautorizzazione di un amministratore di istanza con RBAC minimo per aggiornare i componenti (aggiornamento dalla versione 5.3.x a una versione successiva 5.3 refresh)

Se hai assegnato a un amministratore di istanza il controllo di accesso basato sui ruoli (RBAC) minimo per installare IBM® Software Hub il software, devi aggiornare i ruoli assegnati all'utente in modo che questi disponga di privilegi sufficienti per aggiornare l'istanza.

Fase di aggiornamento
  • Tu non sei qui. Aggiornamento della workstation client
  • Tu non sei qui. Raccolta delle informazioni richieste
  • Tu non sei qui. Preparazione all'esecuzione di un aggiornamento in una rete con restrizioni
  • Tu non sei qui. Preparazione all'esecuzione di un aggiornamento da un registro container privato
  • Tu non sei qui. Aggiornamento del software prerequisito
  • Tu non sei qui. Aggiornamento dei componenti condivisi del cluster
  • Icona "Ti trovi qui". Preparazione all'aggiornamento di un'istanza
  • Tu non sei qui. Aggiornamento di un'istanza
Chi deve completare questo compito?

Amministratore del cluster Questa operazione deve essere eseguita da un amministratore del cluster.

Quando devi completare questo compito?
  • Se hai assegnato a un utente il admin ruolo nel progetto, puoi saltare questa operazione.
  • Se hai assegnato a un utente il controllo di accesso basato sui ruoli (RBAC) minimo per l'installazione IBM Software Hub, devi completare questa operazione per garantire all'utente privilegi sufficienti per l'aggiornamento dell'istanza.

    Ripetere secondo necessità Se si dispone di più istanze di IBM Software Hub, è necessario ripetere questa operazione per ciascuna istanza di IBM Software Hub che si intende aggiornare.

Prima di iniziare

Best practice: è possibile eseguire i comandi in questa attività esattamente come scritti utilizzando le variabili di ambiente di installazione. Assicurati di aver aggiunto le nuove variabili di ambiente dalla sezione Aggiornamento dello script delle variabili di ambiente.

Inoltre, assicurati di recuperare le variabili di ambiente prima di eseguire i comandi in questa attività.

Informazioni su questa attività

Utilizza il show-minimum-rbac comando per generare i file YAML che puoi utilizzare per assegnare a un utente l'RBAC minimo necessario per aggiornare i componenti associati a un'istanza di IBM Software Hub.

È necessario rigenerare e riapplicare i ruoli assegnati all'amministratore dell'istanza in modo che l'utente disponga di privilegi sufficienti per aggiornare l'istanza.

Procedura

  1. Accedi al cpd-cli cluster Red Hat® OpenShift® Container Platform :
    ${CPDM_OC_LOGIN}
    Ricorda: CPDM_OC_LOGIN è un alias del cpd-cli manage login-to-ocp comando.
  2. Imposta la variabile ROLE_NAME di ambiente sull'identificatore che utilizzi per i ruoli RBAC minimi associati a questa istanza di IBM Software Hub.
    export ROLE_NAME=<role-name>
  3. Esegui il cpd-cli manage show-minimum-rbac comando per generare i file YAML che puoi utilizzare per creare i ruoli con l'RBAC minimo per i componenti:
    cpd-cli manage show-minimum-rbac \
--components=${COMPONENTS} \
--release=${VERSION} \
--role_name=${ROLE_NAME}
    Il comando genera i seguenti file YAML nella work directory:
    • ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml
    • ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml
  4. Passa alla work directory.
  5. Crea i ruoli dai file YAML:
    1. Crea il ${ROLE_NAME}-cpd-instance-admin ruolo nel progetto degli operatori per l'istanza:
      oc apply \
-f ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERATORS}
    2. Crea il ${ROLE_NAME}-cpd-instance-crs ruolo nel progetto degli operatori per l'istanza:
      oc apply \
-f ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERATORS}
    3. Creare il ${ROLE_NAME}-cpd-instance-admin ruolo nel progetto operandi per l'istanza:
      oc apply \
-f ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERANDS}
    4. Creare il ${ROLE_NAME}-cpd-instance-crs ruolo nel progetto operandi per l'istanza:
      oc apply \
-f ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INST_OPERANDS}
    5. Crea il ${ROLE_NAME}-cpd-instance-admin ruolo in qualsiasi progetto collegato all'istanza:
      oc apply \
-f ${ROLE_NAME}-cpd-instance-admin.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED}
      Ripeti questo passaggio per ogni progetto collegato associato a questa istanza di IBM Software Hub.
      Suggerimento: se si imposta la variabile PROJECT_CPD_INSTANCE_TETHERED_LIST di ambiente, stampare l'elenco dei progetti collegati sul terminale:
      echo $PROJECT_CPD_INSTANCE_TETHERED_LIST

      Utilizza queste informazioni per impostare la variabile PROJECT_CPD_INSTANCE_TETHERED di ambiente prima di rieseguire il comando.

    6. Crea il ${ROLE_NAME}-cpd-instance-crs ruolo in qualsiasi progetto collegato all'istanza:
      oc apply \
-f ${ROLE_NAME}-cpd-instance-crs.${VERSION}.yaml \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED}
      Ripeti questo passaggio per ogni progetto collegato associato a questa istanza di IBM Software Hub.
      Suggerimento: se si imposta la variabile PROJECT_CPD_INSTANCE_TETHERED_LIST di ambiente, stampare l'elenco dei progetti collegati sul terminale:
      echo $PROJECT_CPD_INSTANCE_TETHERED_LIST

      Utilizza queste informazioni per impostare la variabile PROJECT_CPD_INSTANCE_TETHERED di ambiente prima di rieseguire il comando.

  6. Imposta la variabile INSTANCE_ADMIN di ambiente con il nome utente Red Hat OpenShift Container Platform dell'utente a cui desideri assegnare i privilegi di amministrazione.
    export INSTANCE_ADMIN=<user>
  7. Assegna all'utente i ruoli nei progetti per l'istanza:
    Suggerimento: i passaggi seguenti utilizzano il oc adm policy add-role-to-user <role-name> <user-name> comando. In alternativa, è possibile utilizzare il oc adm policy add-role-to-group <role-name> <group-name> comando per autorizzare un gruppo di Red Hat OpenShift Container Platform utenti.
    1. Assegna all'utente il ${ROLE_NAME}-cpd-instance-admin ruolo nel progetto operatori per l'istanza:
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERATORS} \
--role-namespace=${PROJECT_CPD_INST_OPERATORS}
    2. Assegna all'utente il ${ROLE_NAME}-cpd-instance-crs ruolo nel progetto operatori per l'istanza:
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-crs ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERATORS} \
--role-namespace=${PROJECT_CPD_INST_OPERATORS}
    3. Assegna all'utente il ${ROLE_NAME}-cpd-instance-admin ruolo nel progetto operands per l'istanza:
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERANDS} \
--role-namespace=${PROJECT_CPD_INST_OPERANDS}
    4. Assegna all'utente il ${ROLE_NAME}-cpd-instance-crs ruolo nel progetto operands per l'istanza:
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-crs ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INST_OPERANDS} \
--role-namespace=${PROJECT_CPD_INST_OPERANDS}
    5. Assegna all'utente il ${ROLE_NAME}-cpd-instance-admin ruolo in tutti i progetti collegati all'istanza:
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-admin ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED} \
--role-namespace=${PROJECT_CPD_INSTANCE_TETHERED}
      Ripeti questo passaggio per ogni progetto collegato associato a questa istanza di IBM Software Hub.
      Suggerimento: se si imposta la variabile PROJECT_CPD_INSTANCE_TETHERED_LIST di ambiente, stampare l'elenco dei progetti collegati sul terminale:
      echo $PROJECT_CPD_INSTANCE_TETHERED_LIST

      Utilizza queste informazioni per impostare la variabile PROJECT_CPD_INSTANCE_TETHERED di ambiente prima di rieseguire il comando.

    6. Assegna all'utente il ${ROLE_NAME}-cpd-instance-crs ruolo in tutti i progetti collegati all'istanza:
      oc adm policy add-role-to-user ${ROLE_NAME}-cpd-instance-crs ${INSTANCE_ADMIN} \
--namespace=${PROJECT_CPD_INSTANCE_TETHERED} \
--role-namespace=${PROJECT_CPD_INSTANCE_TETHERED}
      Ripeti questo passaggio per ogni progetto collegato associato a questa istanza di IBM Software Hub.
      Suggerimento: se si imposta la variabile PROJECT_CPD_INSTANCE_TETHERED_LIST di ambiente, stampare l'elenco dei progetti collegati sul terminale:
      echo $PROJECT_CPD_INSTANCE_TETHERED_LIST

      Utilizza queste informazioni per impostare la variabile PROJECT_CPD_INSTANCE_TETHERED di ambiente prima di rieseguire il comando.

Cosa fare successivamente

Ora che hai ri-autorizzato l'amministratore dell'istanza, sei pronto per completare l'aggiornamento dei monitor privilegiati (aggiornamento dalla versione 5.3.x a una versione successiva 5.3 refresh).